marc rees
@reesmarc
Wed Apr 21 08:30:13 +0000 2021

Breaking @nextinpact :
Le coeur de la décision du Conseil d’Etat sur la conservation des données :
#CERens https://t.co/1sX5PCClMa

conf au Conseil d'Etat au même moment (l'arrêt n'a toujours pas été diffusée officiellement) https://t.co/iz3CccyAVJ

diffusé-e

L'arrêt sera baptisé officielle "French Data Network", explique Bruno Lasserre depuis la conf au Conseil d'Etat. Nom attribué à la première partie requérante, dans le temps.

C'est donc l'arrêt @assoFDN que s'apprête à rendre le Conseil d'Etat (copie du dispositif ci-dessus)

"C'est une décision de principe, une décision importante" Bruno Lasserre

🎁@NextINpact je viens d'obtenir l'arrêt d'Assemblée du Conseil d'Etat sur la rétention des données
Il est là : https://t.co/Z5SPwzT1Bk
Bonne lecture !

Conf presse CE : les juges ont toujours cherché à éviter les heurts tout en élaborant des mécanismes qui permettent de prévenir des collisions, des conflits.

C'est le mécanisme du "dialogue des juges", qui tentent de trouver des modes de conciliations entre les ordres juridiques (UE/interne).
Le dialogue se manifeste le plus souvent par un renvoi préjudiciel, via les questions adressées à la CJUE

Dans cette affaire c'est le CE qui a posé une série de questions, à la suite de l'arret de 2016 Télé2, lui même qui faisait suite à l'arrêt Digital Rights.
Le CE a posé de nouvelles questions pour faire préciser le droit que la cour avait interprété

en particulier sur la directive de 2002.

#LT en cours (désolé par avance pour les typos)

S'est posée la question de la criminalité, de la lutte contre le terro, etc.
La décision d'assemblée est là pour tirer les enseignements de l'arrêt d'octobre 2020 de la CJUE.

Le rapporteur public a parlé de "sidération" car cet arrêt a provoqué une incompréhension

Sentiment en FR que la réponse apportée par la CJUE ne permettait pas de satisfaire les exigences de lutte contre la criminalité. Le CE s'est trouvé face à deux voies possibles, notamment via les conclusions du GVT.
(Point 3 à 8 de la décision rendue auj)

Le GVT français a suggéré deux voies de réponse :
1) la rébellion : il a demandé au CE de faire ce qu'on appelle un controle "ultra vires", pour juger que la CJUE, dans l'interprétation du droit UE, ne respectait pas la répartition des compétences entre UE et Etats membres

Une demande jamais adressée au CE, mais qui a des précédents dans deux pays eurosceptiques (Rep tchèque/Danemark).

La cour constitutionnelle allemande, le 5 mai 2020, a effectué un contrôle ultra vires, pas convaincue du raisonnement de la CJUE sur l'achat de titres, au motif que la politique budgétaire relève des Etats membres.

Dans un mémoire, le GVT a demandé de juger que la CJUE avait été au delà de ses compétences.

Le Conseil d'Etat se refuse à suivre cette voie (paragraphe 8 de la décision)

PQ ? 3 raisons expliquent ce refus :
1) contexte
2) climat
3) principe

1) C'est le CE qui a posé la question.
2) la décision va etre auscultée par plusieurs pays. Est il imaginable que le CE, défenseur de l'état de droit, incite à la crânerie d'autres pays ?
3) nous pensons enfin que s'il y a des désaccords qui peuvent survenir en EU, ...

.. ce n'est pas la guerre des juges qui permet de résoudre ce désaccord, mais l'initiative politique.
La directive de 2002 est partielle. Protection des données perso et exigences de sécurité publique.

Si un EM organise de lui même par un espèce de big brother administratif un système qui lui permettrait d'aspirer tt les données de connexion, cette entreprise ne serait pas soumise à la directive ePrivacy.

La directive doit s'appliquer aux entreprises. Elle est datée. 20 ans, c'est l'éternité à l'âge du numérique.

Un texte est sur la table, le règlement ePrivacy, depuis 2017. Préférable de se mettre autour de la table plutôt que déclarer la guerre des juges.

La seconde voie, après le contrôle ultra vires : le Conseil d'Etat, dans le prolongement de l'arrêt Arcelor, entreprend une clause de sauvegarde constitutionnelle, qu'il inscrit dans le paysage, sans l'appliquer.

C'est un principe de conciliation exigeante. La norme supreme c'est la Constitution. Quand le défenseur invoque le fait que l'application du droit EU, t q interprété par la Cour de justice, conduirait en écartant le droit national à méconnaitre des exigences constitutionnelles

sans équivalent avec le droit de l'UE, alors la norme constitutionnelle doit l'emporter (point 3 à 7 de la décision);

Le CE recherche si l'exigence a son équivalent en droit EU. Et si ce n'est pas le cas, si cela conduit à ne pas garantir la pleine effectivité des exigences

constitutionnelles (sûreté nationale, intérets fdts état, nécessaire lutte contre les infractions pénales).

C'est un arrêt important sur la manière de résoudre les tensions entre droit EU et droit national, pas par la rébellion, mais par le choix d'une conciliation qui conduira qd la constitution l'exige à faire primer le droit constit qd pas d'équivalent dans le droit EU

(LT toujours en cours, vraiment désolé pour les typo, cela va très vite)

[suite]

Nous nous sommes attachés point par point à vérifier si le fait d'carter le droit national au motif de sa contrariété avec le droit EU conduirait à priver des exigences constitutionnelles de leur effectivité.

La sauvegarde des intérêts fdtx du pays, la préservation de l'ordre public et la poursuite des infractions pénales.

Deux grosses séries de questions à régler :

En FR, les données de connexion sont conservées pendant un an par les opérateurs.
2eme sujet, le renseignement.
(points II et III de la décision)

Pour la première question, la Cour UE a raisonnée par finalités. La conservation indifférenciée est possible pour les besoins de la sauvegarde de la sécu nationale, dès lors que cette sécu fait l'objet d'une menace grave, réelle et actuelle ou prévisible.

Elle a simplement posé comme conditions que la réévaluation de cette menace soit périodique. PAr un acte, suffisamment charpenté, qui caractérise l'existence de cette menace grave, réelle, actuelle/prévisible

Pour la criminalité grave, elle a jugé que l'obg de conserver les données de connexion de manière indifférenciée était contraire au droit de l'UE.
Elle a proposé un ciblage ex ante, par secteur géographique ou groupe de personnes susceptibles d'infractions graves

Toujours pour la criminalité grave, la CJUE a dit également qu'il était possible de mettre en oeuvre la conservation rapide, le gel de données, prévu par la Convention de BUdapeste. Les autorités peuvent demander le gel aux opérateurs, des données de connexion pour les besoins

de lutte contre certaines infractions pénales. Cette technique peut etre mise en oeuvre peu importe le réervoire de donnees de connexion.

Enfin aucune conservation généralisée n'est possible pour les besoins de la criminalité ordinaire.

Nous constatons que dans l'état actuel du droit, il n'y a pas le mécanisme de revoyure, de réexamen périodique de la réalité de la permanence de cette menace.
On valide le principe de la conservation des données auj et depuis 2015 pour besoin préservation sécu national, mais

le disposiotif actuel doit etre complété car ne prévoit pas cette révision périodique.

Poru la criminalité grave, deuxième paquet après celui de la sécu nationale; La cour a ouvert la possibilité d'un ciblage ex ante. L'instruction, notamment orale, a permis de vérifier 2 choses, et cela a été dit par les opérateurs dont Free :

cibler géographiquement, c'est techniquement irréalisable.
Deuxième chose, meme si techniquement réalisable, cette technique de conservation ex ante n'est pas opérationnelle car il est difficile de savoir ex ante où et par qui une infraction va etre commise

Un ciblage à l'aveugle ne permet pas de répondre aux besoins d'une enquête pénale.

Après avoir constaté cette fenetre non opérationnelle, nous jugeons que la technique de conservation rapide, de gel de données, permet de répondre aux besoins de la poursuite des infractions pé, dès lors que nous sommes dans une actualité telle de menace que la conservation

généralisée est possible.

La technique de la convention de BUdapest permet cette conservation rapide. Le fait d'écarter le droit national, t qu'interprété par la cour, ne porte pas atteinte aux objectifs constitutionnels

a froid, on ne peut dresser une liste d'infractions graves/pas grave pour gérer ce dispositif de gel des données de connexion.
Il y a un principe de proportionnalité, notamment en matière d'enquête pénale, où les enquêteurs doivent se tenir à ce prinicpe de proportionnalité.

Donc on considère que le distingo entre infraction grave/pas grave, le droit FR est satisfait.
Il n'y a pas de concilier à ce qui découle du droit EU et des objectifs de valeur constitutionnel précités

Nous donnons un délai de 6 mois au GVT pour remettre en ordre le droit national

Pour la mise en oeuvre des traitements par les services du renseignement.
L’accès en temps différé, « qui permet de connaitre le passé », inscrit à l’article L851-1 du Code de la sécurité intérieure (CSI)

L’accès en temps réel aux données de connexion, pour « suivre le présent » en matière terro (L851-2 du CSI)
La géoloalisation en temps réel, une « sous-catégorie » ouverte à toutes les finalités de la loi (L851-4 du CSI)

Et enfin, en prévention du terrorisme, les traitements algorithmiques (L851-3 du CSI) (aka: les « boites noires » )

Pour le Conseil d'Etat : le droit national est incomplet car il ne prévoit pas d'avis conforme d'une autorité adm. indépendante. Car la CNCTR ne rend aujourd'hui qu'un avis simple;

L'avis de la CNCTR doit lier le premier ministre.
on procède à des annulations dans des décrets de 2015 et 2016 car cette garantie n'existe pas.

(discussions sur l'application de l'annulation dans le temps)

(session questions/réponses entre les quelques journalistes présents et le C.E)

Evidemment, j'ai glissé une question sur les effets d'une telle jurisprudence sur les missions de la Hadopi (identification des IP auprès des FAI des abonnés). Le C.E. me rappelle qu'une autre question préjudicielle est sur la rampe à l'initiative de la CCass.

"le délai d'un an prévu ne nous paraît pas parfaitement excessif au regard des besoins de la lutte contre la criminalité"

"La clause de sauvegarde ne serait elle pas une escarmouche des juges ?" demande une journaliste de l'AJDA.

"Ce que nous faisons, c'est planter dans le paysage cette clause de sauvegarde constitutionnelle, qui nous semble un rappel utile", répond le C.E. Qui cite la théorie des contre-limites en Italie.

"Nous ne faisons que prolonger le raisonnement construit en 2007 avec la jurisprudence Arcelor, qui est exactement celui que tiennent la plupart des cours suprêmes en EU".

"Des contentieux de même nature vont etre engagés devant les juridictions judiciaires. L'arrêt HK de mars dernier traite de la question de savoir si la décision daccéder aux données peut etre prise par le ministère public. ces questions font etre contestées.

Fisc, douane, AMF, ADLC ont aussi possibilité d'accéder à ces données de connexion. Sur ces sujets, notre arret ne tranche rien. Des contentieux seront engagés.
Avec l'arrêt de mars 2021, la CJUE a lancé une pierre dans le jardin des etats membres. Elle sera saisie par qq'1

Fin du live tweet. Merci de l'avoir suivi. Je passe en rédaction. Actualité suivra (dans plusieurs heures) sur @nextinpact
#CERens https://t.co/mWrVXtPlSp

Wed Apr 21 09:41:52 +0000 2021